Apache Dubbo 高危漏洞

你好，我是yes。

前不久 Log4j2 的漏洞不是闹得沸沸扬扬吗，上百个应用更新的那一天，还记忆犹新。

今天又看到了个 Apache Dubbo 的高危漏洞通告，好家伙一看这版本，我们的应用有漏洞…

其实这个漏洞爆出来已经很多天了，影响面没 Log4j2 大，所以没那么“火”，不过也是个高危漏洞。

又是一个可以远程代码执行的漏洞，漏洞的类型是因为反序列化的问题。

从 360网络安全响应中心官网来看，1.14 号就通告了。

对这个漏洞的评定结果如下：

可以看到，还是属于影响比较严重的漏洞。

具体是因为 Apache Dubbo hessian-lite 3.2.11 及之前的版本存在反序列化漏洞，而这个 hessina-lite 恰巧就是 Dubbo 默认的序列化方法

hessian2序列化：hessian是一种跨语言的高效二进制序列化方式。但这里实际不是原生的hessian2序列化，而是阿里修改过的hessian lite，它是dubbo RPC默认启用的序列化方式

一般没特殊需求都不会改默认的实现，所以大部分用了 Dubbo 都会中这个招。

具体的影响版本如下：

所以用 Dubbo 的同学快去排查下自己的应用，看看是否受到影响。

参考：https://cert.360.cn/warning/detailid=413132b068d5e062e3059adc758d3500

我是yes，我们下篇见~